一种数据平面构建方法、系统、电子设备及存储介质与流程

本发明涉及计算机，尤其涉及一种数据平面构建方法、系统、电子设备及存储介质。

背景技术：

1、微分段（micro-segmentation）是一种新兴的网络安全技术，可以在数据中心内创建更加精细的安全区域，进而部署更加灵活的安全策略，提升网络安全性。常见的微分段/分布式防火墙实现通常都仅实现了较基本的微分段安全策略功能，但是在实际生产环境中，微分段的使用和部署存在以下问题：在用户自定义的安全规则与实际想要达成的vm（virtual manufacturing，虚拟机）连通性之间存在一定差别的情况下，若用户直接设置特定的安全规则并使其生效，会对实际工作负载流量的连通性的产生影响，使其不符合预期，对业务造成一定影响；并且，现有技术中用户自定义的安全策略的实施状态不能较好地进行可视化监控。

技术实现思路

1、本发明提供一种数据平面构建方法、系统、电子设备及存储介质，用以解决现有技术中若用户直接设置特定的安全规则并使其生效，可能对实际工作负载流量的连通性的产生影响，使其不符合预期，对业务造成一定影响的问题。

2、本发明提供一种数据平面构建方法，包括：

3、从预设的连接跟踪表中获取任一待处理数据包的连接来源类别，所述连接来源类别包括新连接；

4、当所述待处理数据包的连接来源类别为新连接时，基于预设的实施模式，获取当前的待处理数据包对应的数据流流水线，所述实施模式包括：用于进行安全策略调试的监控模式、用于进行安全策略应用的生效模式，所述监控模式和生效模式分别具有对应的数据流流水线，每个所述数据流流水线均包括多个优先层级的流表，每个流表分别具有相应的安全策略；基于当前的待处理数据包对应的数据流流水线，对所述待处理数据包匹配相应的安全策略；基于所述待处理数据包匹配的安全策略，进行数据平面构建。

5、可选的，所述数据流流水线包括：与监控模式相对应的第一数据流流水线；

6、所述第一数据流流水线包括：多个优先层级的依次递进的监控流表组，所述监控流表组包括：一监控流表和对应的一监控生效流表，所述监控流表用于对待处理数据包匹配相应的安全策略并进行标记，并对标记结果进行可视化显示，所述监控生效流表用于接收对应的监控流表传输的待处理数据包，对所述待处理数据包进行安全策略匹配，确定所述待处理数据包所匹配的安全策略，并对所述待处理数据包所匹配的安全策略预先定义的流空间信息进行编码，获取编码结果，将所述编码结果写入所述待处理数据包的元数据的连接跟踪信息中，将所述连接跟踪信息写入预设的连接跟踪提交表中，所述连接跟踪提交表用于控制平面获取待处理数据包与对应的安全策略之间的映射关系，基于所述映射关系，处理待处理数据包。

7、可选的，所述数据流流水线包括：与生效模式相对应的第二数据流流水线；

8、所述第二数据流流水线包括：多个优先层级的依次递进的实际生效流表，所述实际生效流表用于对所述待处理数据包匹配各自优先层级对应的安全策略，并对所述待处理数据包所匹配的安全策略预先定义的流空间信息进行编码，获取编码结果，将所述编码结果写入所述待处理数据包的元数据的连接跟踪信息中，将所述连接跟踪信息写入预设的连接跟踪提交表中，所述连接跟踪提交表用于控制平面获取待处理数据包与对应的安全策略之间的映射关系，基于所述映射关系，处理待处理数据包。

9、可选的，对所述待处理数据包所匹配的安全策略预先定义的流空间信息进行编码，获取编码结果的步骤包括：

10、基于所述待处理数据包所匹配的安全策略预先定义的流空间信息，获取区域信息编码点；

11、基于所述区域信息编码点和预设的标准编码点，获取所述编码结果。

12、可选的，基于当前的待处理数据包对应的数据流流水线，对所述待处理数据包匹配相应的安全策略的步骤包括：

13、基于预设的流空间信息获取规则，获取所述待处理数据包的待匹配空间信息，所述待匹配空间信息为所述待处理数据包的包头域信息，所述包头域信息包括：源ip地址、源端口、目的ip地址、目的端口和传输层协议；

14、获取待匹配的流表的安全策略所对应的流空间信息，所述待匹配的流表的获取方式为：按照优先层级由高到低的顺序，从所述待处理数据包对应的数据流流水线的各优先层级的流表中获取；

15、将所述待匹配空间信息与所述流空间信息进行匹配，获取所述待匹配空间信息与所述流空间信息之间的关联关系；

16、基于所述关联关系，确定所述待处理数据包所匹配的安全策略。

17、可选的，基于当前的待处理数据包对应的数据流流水线，对所述待处理数据包匹配相应的安全策略的步骤包括：

18、判断所述新连接属于输入流量类型或输出流量类型，获取判断结果；

19、基于所述判断结果，将所述待处理数据包输入对应的数据流流水线中的输入类型流表单元或输出类型流表单元，所述输入类型流表单元包括多个优先层级的依次递进的输入类型流表，所述输出类型流表单元包括多个优先层级的依次递进的输出类型流表，所述输入类型流表和输出类型流表均具有相应的安全策略；

20、基于所述输入类型流表单元和输出类型流表单元，对所述待处理数据包匹配相应的安全策略。

21、可选的，所述连接来源类别还包括已有连接；

22、当所述待处理数据包的连接来源类别为已有连接时，基于所述已有连接对应的历史数据中的安全策略，获取所述待处理数据包对应的安全策略；对所述待处理数据包对应的安全策略预先定义的流空间信息进行编码，获取编码结果；将所述编码结果写入所述待处理数据包的元数据的连接跟踪信息中，并将所述连接跟踪信息写入预设的连接跟踪提交表中，所述连接跟踪提交表用于控制平面获取待处理数据包与对应的安全策略之间的映射关系，基于所述映射关系，处理待处理数据包。

23、本发明还提供一种数据平面构建系统，包括：

24、来源判定模块，用于从预设的连接跟踪表中获取任一待处理数据包的连接来源类别，所述连接来源类别包括新连接；

25、数据平面构建模块，用于当所述待处理数据包的连接来源类别为新连接时，基于预设的实施模式，获取当前的待处理数据包对应的数据流流水线，所述实施模式包括：用于进行安全策略调试的监控模式、用于进行安全策略应用的生效模式，所述监控模式和生效模式分别具有对应的数据流流水线，每个所述数据流流水线均包括多个优先层级的流表，每个流表分别具有相应的安全策略；基于当前的待处理数据包对应的数据流流水线，对所述待处理数据包匹配相应的安全策略；基于所述待处理数据包匹配的安全策略，进行数据平面构建。

26、本发明还提供一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现如上述任一种所述数据平面构建方法。

27、本发明还提供一种非暂态计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现如上述任一种所述数据平面构建方法。

28、本发明的有益效果：本发明提供的数据平面构建方法、系统、电子设备及存储介质，通过从预设的连接跟踪表中获取任一待处理数据包的连接来源类别，连接来源类别包括新连接；当待处理数据包的连接来源类别为新连接时，基于预设的实施模式，获取当前的待处理数据包对应的数据流流水线，实施模式包括：用于进行安全策略调试的监控模式、用于进行安全策略应用的生效模式，监控模式和生效模式分别具有对应的数据流流水线，每个数据流流水线均包括多个优先层级的流表，每个流表分别具有相应的安全策略；基于当前的待处理数据包对应的数据流流水线，对待处理数据包匹配相应的安全策略；基于待处理数据包匹配的安全策略，进行数据平面构建。方便用户在实际使安全策略生效之前调试其自定义的安全策略，预防因配置安全策略失误等而引发的网络故障，稳定性较高，可实施性较强，成本较低。